Hướng dẫn Lập Kế Hoạch Ứng Phó với Dữ Liệu

Những điều khiến bạn có “giá trị” đối với khách hàng của mình với tư cách là Nhà Cung Cấp Dịch Vụ, cũng sẽ khiến bạn trở thành mục tiêu của vi phạm bảo mật. Chuyên môn của bạn trong việc lưu trữ, truy cập và duy trì bảo mật cho những thông tin nhạy cảm đã thu hút sự chú ý của tội phạm mạng. Các kết nối của bạn với nhiều nền tảng, nhà cung cấp và khách hàng đang lôi kéo những kẻ xấu tìm kiếm cơ hội trục lợi và cung cấp cho thị trường chợ đen của họ. Các thông tin có thể kể đến như: thông tin thẻ tín dụng, số an sinh xã hội, thông tin cá nhân, địa chỉ liên hệ nội bộ và các thông tin nhạy cảm khác.

 

Thật không may, có quá nhiều nhà cung cấp dịch vụ đã nhận thấy mình là mục tiêu tiềm năng. Có thể là do thiếu sự chuẩn bị, lỗi do con người hoặc thiếu kỹ thuật, các công ty CNTT đã phải vật lộn để đáp ứng những thách thức về bảo mật dữ liệu mà chúng ta đang phải đối mặt. Cộng đồng Bảo mật CNTT của CompTIA đã tạo ra công cụ này để giúp hướng dẫn khi bạn chuẩn bị kế hoạch ứng phó với vi phạm dữ liệu. Các mẹo bạn sẽ tìm thấy ở đây bao gồm từ một bức tranh toàn cảnh (lập kế hoạch trước và kiểm tra) đến chi tiết (giữ các ghi chú liên quan của một sự cố tách biệt với công việc kinh doanh hàng ngày), nhưng tất cả đều được thiết kế để tránh những điều chưa biết về phương trình. Ngay cả khi bạn đã có các chính sách bảo mật dữ liệu mạnh mẽ và kế hoạch ứng phó với vi phạm dữ liệu được xác định rõ ràng, bạn vẫn có thể tìm thấy một ý tưởng hoặc đề xuất mới để cải thiện hơn nữa tư thế của mình. Bằng cách chia sẻ hướng dẫn lập kế hoạch này với các thành viên trong nhóm, bạn củng cố ý tưởng rằng bảo mật dữ liệu không phải là hoạt động thụ động, hoạt động một lần và kết thúc. Mà đó là một tư duy. Nó hoạt động mỗi ngày. Nó phải được gắn vào văn hóa của bạn và doanh nghiệp.

May mắn thay, có một số phương pháp đào tạo, lập kế hoạch và kích hoạt nhóm hỗ trợ phù hợp đã được chứng minh sẽ giúp bạn ngăn chặn những gì có thể xảy ra và những ứng phó thích hợp để hạn chế tác động của vi phạm bảo mật. Hướng dẫn này tuân theo cấu trúc của National Institute of Standards and Technology’s (NIST) Cybersecurity Framework (CSF) (tạm dịch “Khung An Ninh Mạng của Viện Tiêu chuẩn và Công nghệ Quốc gia”) và nêu bật những nơi bạn có thể tìm thêm thông tin trong CSF. Xin lưu ý rằng NIST CSF là một khuôn khổ, không phải là một tiêu chuẩn. Các khuyến nghị và khái niệm trong khuôn khổ có thể được áp dụng trên toàn cầu cho bất kỳ tiêu chuẩn tuân thủ nào hoặc khuôn khổ bảo mật thay thế nào mà bạn có thể đã quen thuộc. Tất nhiên, kế hoạch của bạn nên bao gồm nhiều hơn những gì được chia sẻ ở đây. Sử dụng hướng dẫn lập kế hoạch này để giúp bạn bắt đầu, làm nổi bật những lĩnh vực bạn có thể đã bỏ lỡ và giúp bạn vượt qua chúng.

 

Tải ngay Data Breach Response Planning Guide để biết thêm các mẹo, tài nguyên và hơn thế nữa.

Green icon image of a globe with a lock on it

Ứng phó vi phạm dữ liệu: Lập kế hoạch trước

NIST CSF Identify & Protect Pillars

Việc xác định phương pháp tiếp cận bảo mật dữ liệu của bạn được thực hiện tốt nhất vào thời điểm bạn không gặp trường hợp khẩn cấp hoặc ngay sau khi xảy ra sự cố. Cộng đồng bảo mật CNTT thực sự khuyên bạn nên xây dựng kế hoạch ứng phó với vi phạm dữ liệu của mình phù hợp với việc tuân thủ quy định hiện hành liên quan đến vị trí, ngành hoặc dịch vụ của bạn. Khi xây dựng (hoặc cải thiện) kế hoạch, hãy bắt đầu bằng cách xác định các sự cố cụ thể và xem xét cách bạn sẽ quản lý những tình huống có thể xảy ra dựa trên dữ liệu bạn lưu trữ, truyền tải và xử lý.

1. Xem xét các kịch bản hợp lý. Tránh tạo ra các kịch bản dài dòng hoặc phức tạp. Xác định các tình huống đơn giản và xác định hướng dẫn rõ ràng để ứng phó.

      • Ví dụ về các tình huống:
        Điều gì xảy ra nếu chúng tôi phát hiện thấy điều gì đó bất hợp pháp trên máy tính của khách hàng?
        Làm cách nào để chúng tôi đảm bảo nhân viên bị chấm dứt hợp đồng mất quyền truy cập vào dữ liệu nhạy cảm?
      • Điều gì sẽ xảy ra nếu có một worm (sâu máy tính) lan truyền, một cuộc tấn công DOS, một vi phạm dữ liệu hoặc một thảm họa?
      •  Xác định các danh mục theo quan trọng trong các tình huống của bạn, chẳng hạn như thấp, trung bình, cao, có thể xảy ra, thay đổi, v.v. Hãy nhớ: Không phải mọi thứ đều qui về trường hợp khẩn cấp cấp cao nhất.
      • Hãy biết dữ liệu của bạn đi sâu đến mức nào, tức là bạn có thông tin sức khỏe được bảo vệ (PHI), thông tin nhận dạng cá nhân (PII), v.v., về nhân viên hoặc khách hàng của bạn không?
      • Thực hành các tình huống này như thể chúng đang thực sự xảy ra và tìm ra cách bạn sẽ thực hiện kế hoạch. Sau đó, xác định các khu vực còn rườm rà và cải thiện quy trình.

2. Xác định nhóm ứng phó sự cố (IRT) của bạn. Nhóm nội bộ này phải bao gồm tất cả các khía cạnh của doanh nghiệp, bao gồm kỹ sư mạng, kỹ thuật, nhân sự, pháp lý, PR & tiếp thị.

Thiết lập cách tiếp cận theo giai đoạn đối với IRT. Xác định các vai trò và trách nhiệm để xác định ban đầu về sự bất thường và mức độ cao của một vi phạm có thể xảy ra.

3. Là một phần của kế hoạch, hãy tiến hành sao lưu thường xuyên ở mức chấp nhận rủi ro đã xác định và đảm bảo là phải kiểm tra chúng. Tin tặc sẽ có xu hướng tắt các quy trình tự động này.

4. Hỗ trợ từ bên ngoài là rất quan trọng để quản lý một sự cố. Hãng bảo hiểm và cố vấn pháp lý của bạn sẽ là một trong những đồng minh tốt nhất, miễn là bạn đã dành thời gian để xác định rõ phạm vi bảo hiểm, trách nhiệm pháp lý và vai trò của cố vấn.

      • Xác nhận và xem xét phạm vi bảo hiểm.
      • Có chính sách bảo hiểm trách nhiệm trên không gian mạng, không chỉ là trách nhiệm cơ bản hoặc các lỗi và thiếu sót kỹ thuật.
      • Đảm bảo rằng hợp đồng bảo hiểm của bạn sẽ bao gồm các tình huống hợp lý khác nhau được xác định để bạn không phải chịu trách nhiệm. Kiểm tra tất cả các chi tiết về phạm vi bảo hiểm của bạn bao gồm ngày kích hoạt, điều khoản loại trừ và chi tiết của bất kỳ điều khoản nào về tác nhân xấu.
      • Nhiều công ty bảo hiểm cung cấp các dịch vụ như “breach coach” để giúp bạn vượt qua sự cố. Hỏi về lợi ích này với nhà cung cấp dịch vụ của bạn. Bạn sẽ có đủ sáng suốt trong khi xảy ra sự cố, vì vậy hãy xác định sự hỗ trợ của bạn trước thời hạn.
      • Tham gia cùng với tổ cố vấn pháp lý của bạn. Tham gia cố vấn về tất cả các hợp đồng bảo mật ngay từ đầu để bảo vệ bạn với đặc quyền của luật sư mọi lúc.
      • Đảm bảo rằng luật sư của bạn đã được bảo hiểm của bạn chấp thuận, tức là họ sẽ chi trả phí luật sư lên đến một con số nhất định, có thể ít hơn số tiền mà luật sư của bạn đang tính.
      • Đối thoại cởi mở 3 bên giữa bạn, hãng bảo hiểm và luật sư của bạn để cải thiện mối quan hệ với các chức năng hỗ trợ này và cung cấp các vai trò rõ ràng.
      • Trong một sự cố, hãy gọi ngay cho cố vấn pháp lý. Ngay sau khi bạn xác định điều này đủ quan trọng để mang lại IRT, hãy quyết định xem bạn có cần tư vấn bên ngoài hay không. Đảm bảo rằng bạn có một luật sư quen thuộc với quản lý sự cố trên không gian mạng và các quy định liên quan.

5. Xác định các liên hệ khẩn cấp.

      • Cơ quan quản lý
      • Hãy nhớ rằng luật pháp khác nhau giữa các tiểu bang và quốc gia này sang quốc gia khác đối với những khách hàng hoạt động trong khu vực, quốc gia và toàn cầu.
      • Cơ quan thực thi pháp luật
      • Pháp chứng
      • Trừ khi nhân viên kỹ thuật của bạn được đào tạo thích hợp và được chứng nhận về pháp chứng, những nỗ lực mà họ thực hiện để điều tra một sự cố có thể làm mất đi bằng chứng quan trọng. Chuẩn bị cho điều này bằng cách xác định các tùy chọn cho các chuyên gia pháp chứng để xác định xem một sự cố mà bạn đã xác định có thực sự là một vi phạm hay không.
      • Đối tác nhà cung cấp, khách hàng và các đối tác kinh doanh khác.

6. Nhận thức được luật thông báo tuân thủ.

Về các quy tắc và quy định liên quan đến dữ liệu, hãy biết các quy tắc tuân thủ nào áp dụng cho luật thông báo của bạn. Có một số yêu cầu thông báo trong vòng vài giờ. Giám đốc tuân thủ (CCO) của bạn nên xác định khách hàng nào cần thông báo và khi nào, tức là trong thời gian thực, trong vòng 24 giờ, v.v. Việc không tuân thủ có thể có các tác động pháp lý.

Green icon of a folder with a padlock on it

Sự cố: Phát hiện và Bảo vệ

NIST CSF Detect & Protect Pillars

Trong hầu hết các trường hợp, một sự cố bắt đầu ở cấp độ kỹ thuật khi một cái gì đó được gắn cờ là bất thường. Nó có thể là ở trung tâm hoạt động mạng (NOC) hoặc trung tâm hoạt động bảo mật (SOC) của bạn, hoặc thậm chí ở cấp độ công nghệ hàng đầu của bạn. Sự bất thường đó được nâng lên cấp quản lý tiếp theo, người sẽ quyết định có kích hoạt IRT hay không. Người quản lý này phải có kinh nghiệm để xác định rằng sự cố là một vi phạm và có thẩm quyền để kích hoạt IRT. Sau khi điều đó xảy ra, đó không còn là vấn đề kỹ thuật nữa mà giờ đây là vấn đề kinh doanh. Hãy nhớ rằng, không phải mọi sự cố đều có thể xảy ra vi phạm, nhưng bạn phải có khả năng chứng minh rằng bạn đã quyết tâm như thế nào. Bạn không thể kích hoạt IRT cho mọi sự cố.

 

IRT của bạn hiện đã được kích hoạt.

1. Kẹp thông tin liên lạc và ngay lập tức. Việc thừa nhận sai sót một cách vô ý có thể dẫn đến những phân nhánh pháp lý không lường trước được.

2. Thực hiện theo kế hoạch đã đặt ra cho sự cố / kịch bản cụ thể đó. Nếu bạn đã dành thời gian để xác định và thực hành các tình huống, bạn có thể kích hoạt kế hoạch của mình.

3. Tập hợp các thành viên IRT cốt lõi để thu thập thông tin tình báo. Các thành viên có thể được tạm ngừng hoạt động tiếp theo nếu họ không nhất thiết phải tham gia sau khi đã thu thập thông tin tình báo ban đầu.

4. Tìm hiểu lỗi nằm ở đâu từ sớm.

      • Đôi khi, bất chấp mọi nỗ lực tìm hiểu của bạn, thì lỗi lại từ phía khách hàng.
      • Đảm bảo rằng thỏa thuận dịch vụ được quản lý của bạn nêu rõ những dịch vụ ứng phó sự cố nào được bao gồm hoặc loại trừ. Đặc biệt với những khách hàng không nghe theo lời khuyên của bạn, vi phạm các quy tắc an ninh mạng hoặc bị lôi kéo vào vấn đề của khách hàng, hãy xác định xem bạn có phải tính phí dịch vụ của mình hay không.

Green icon of a key

Ứng phó: Giao tiếp và phục hồi

NIST CSF Respond & Recover Pillars

Câu hỏi lớn mà một doanh nghiệp phải đối mặt hiện nay là: Khi nào bạn bắt đầu giao tiếp bên ngoài IRT? Nói chung, bạn sẽ muốn thực hiện theo kế hoạch cho tình huống với các quy định tuân thủ đóng một vai trò quan trọng. Nhờ tư vấn pháp lý giúp bạn trước khi bạn nói điều gì đó có thể tốn kém. Sử dụng các nguyên tắc này để bắt đầu giao tiếp và phục hồi.

1. Lưu tất cả các thông tin liên lạc nội bộ.

      • Duy trì liên lạc với luật sư và bảo hiểm, cũng như nhóm IRT của bạn.
      • Gắn nhãn các tin nhắn của bạn để có thể dễ dàng tìm kiếm sau này.
      • Giữ các mục thuộc quyền khách hàng của luật sư riêng biệt với các thông tin liên lạc khác.

2. Làm việc cùng với hãng bảo hiểm của bạn.

      • Tùy thuộc vào tình huống, hãy tham gia bảo hiểm của bạn ngay lập tức để biết ai sẽ chi trả cho mọi thứ. Các công ty bảo hiểm có đội ngũ giám chứng và ứng phó trên không gian mạng mà họ có thể dựa vào. Trong một số trường hợp nhất định, chẳng hạn như xâm nhập ransomware, PHI hoặc PII, bạn có thể sẽ muốn liên kết với bảo hiểm của mình bằng một yêu cầu bồi thường.
      • Bạn có thể được yêu cầu viết một bức thư về sự cố, tức là “Nó đã xảy ra với chúng tôi” để giúp phân tích sau sự cố và khuyến khích chia sẻ thông tin liên quan đến sự cố.
      • Ghi lại tất cả thời gian dành cho sự cố của các thành viên trong nhóm ứng phó. Hãng bảo hiểm của bạn sẽ muốn có thông tin này để ước tính lỗi và thiếu sót (E&O)

3. Lập kế hoạch chiến lược truyền thông bên ngoài của bạn.

      • Duy trì các khách hàng khác của bạn trong thời gian này cũng quan trọng hơn bao giờ hết. Bạn phải đảm bảo công việc kinh doanh nhất định như bình thường không bị gián đoạn với các khách hàng khác và các biện pháp phòng ngừa hoặc bài học kinh nghiệm thích hợp được thực hiện ngay lập tức và được thông báo cho tất cả các bên.
      • Hãy cẩn thận khi nói chuyện với khách hàng bị ảnh hưởng bởi sự cố vi phạm trước khi nói chuyện với luật sư. Nếu bạn hoặc một trong những nhà cung cấp của bạn có thể do lỗi, bạn sẽ muốn cẩn thận với những gì mình nói — ngay cả với khách hàng của chính bạn. Nó có thể được sử dụng để chống lại bạn nếu khách hàng của bạn thực hiện hành động pháp lý. Có tất cả các tài liệu và thông tin liên lạc bằng lời nói và văn bản bên ngoài được luật sư và công ty bảo hiểm của bạn chấp thuận.
      • Trong tình huống bị nhiễm ransomware, nên biết khi nào cần thông báo cho các khách hàng có khả năng bị ảnh hưởng. Họ có thể sẽ có những hành động cần thực hiện, chẳng hạn như liên hệ với bảo hiểm và luật sư của riêng họ. Nếu cơ quan pháp luật được yêu cầu, họ sẽ tham gia. Các công ty bảo hiểm sẽ tiếp nhận một khi sự cố đã được kiểm soát.
      • Xác định những gì có thể và nên nói với nhiều đối tượng khác nhau — cộng sự, khách hàng, đối tác kinh doanh, nhân viên và công chúng. Bám sát các thông điệp chính của bạn.
      • Chuẩn bị một bài thông báo cho nhân viên để đảm bảo rằng tất cả mọi người đều được đồng bộ thông tin. Ví dụ: “Một trong những khách hàng của chúng tôi đã bị tấn công bằng ransomware. Chúng tôi đang làm việc với họ, cũng như các cơ quan chức năng thích hợp và sẽ liên lạc lại với đội trong thời gian sớm nhất có thể. ”
      • Chuẩn bị một tuyên bố cho báo chí (trường hợp cần thiết). Ví dụ: “Chúng tôi hoàn toàn minh bạch với khách hàng, các cơ quan nhà nước và FBI. Chúng tôi đang làm việc cùng nhau để ngăn điều này xảy ra với các doanh nghiệp khác trong tương lai. Tại thời điểm này, vì cuộc điều tra đang diễn ra, chúng tôi không thể cung cấp thêm bất kỳ thông tin chi tiết nào ”. Đối với việc điều tra của công chúng và báo chí, hãy lưu ý xem ai có thể có lỗi. Thông tin liên lạc sẽ thay đổi tùy thuộc vào lỗi của bạn (hoặc nhà cung cấp của bạn / lỗi bảo mật theo thiết kế) thay vì lỗi khách hàng.
      • Sau khi các tuyên bố chính thức của bạn được chuẩn bị và phân phối, hãy giữ một đường dây liên lạc cởi mở — hãy xem xét một đường dây nóng 24/7 trong vài ngày — cho khách hàng và khách hàng bị ảnh hưởng.

 

Với sự suy tính trung thực, kịch bản rõ ràng, thiết kế bảo mật vững chắc, đào tạo và thực hành liên tục, việc quản lý vi phạm không thể tránh khỏi đối với dữ liệu nhạy cảm là hoàn toàn có thể. Cộng đồng Bảo mật CNTT đặc biệt khuyến khích mọi doanh nghiệp công nghệ phát triển, duy trì và thực hiện kế hoạch ứng phó vi phạm dữ liệu mạnh mẽ của riêng mình để giúp chống lại các cuộc tấn công mạng.